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Die f olgenden Angaban aind den vom Anmelder eingereichten Unterlagen entnommen 

(g) Verfahren zum On line- Update sicherheitskritischer Software in der Eisenbahn-Signaltechnik 

@ Die vorliegende Erfindung beschreibt ein Verfahren 
zum Online-Update sicherheitskritischer Software in der 
Eisenbahn-Signaltechnik und dient rnsbesondere dem 
Einbringen von Produktsoftware in Zielrechner von Anla- 
gen. Das erftndungsgemaCe Verfahren basfert daraiff, 
da&JederTeilnehmereinen offentlichen und einen gehei- 
men Schlus&et enthatt, von den Teilnehmern eine Zertifi- 
zierungsinstanz zur Beglaubigung der Zugehdrigkeit der 
Schlussel zu den Teilnehmern mit einem Zertifikat be- 
stimmt wtrd, Jeder Teilnehmer sein eigenes Schlusselzer- 
tifikat und das Zertifikat der Zertifizierungsinetanz erhalt 
Jeder an der Erstellung und Prufung der Produktsoftware 
beteiligte Teilnehmer die Produktsoftware und die bishe- 
rigen Unterschriften mft seinem geheimen Schlussel un- 
terschrefbt und gemeinsam mit seinem eigenen Schlus- 
selzerd'fikat weiterieitet, die Zerd'fizierungsinstanz fur je- 
den Anwendungsfall eine Pruferliste erzeugt und signiert 
und die Produktsoftware zusam men mit einer verketteten 
Unterschriftenliete und der Uste der Schlusselzerb'fikate 
der Teilnehmer sowie der Pruferliste in den Zielrechner 
eingebracht und endgepruft wird. 
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Beschreibung 

Die vorliegendc Erfindung betrifift dn Vcrfahrcn zum Onlinc-Update sicherhcitskritiscber Software in dcr Eiscnbahn- 
Signaltechnik und dient insbesondere detn Einbringen von Produktsoftware in Zaelrechner von Anlagen. 
5 Neue Echtzeit-Betriebssy Sterne bieten weitreicbende Debugging- oder Software^Upgrade-Optionen, wahiend das ei- 
gentliche System lauft (sog. running target), urn eine hobc Verfugbarkeit zu garantieren (sog. non-stop real-lime sy- 
stems). Im Prinzip sind diese Wartungsarbeitcn aucb online, z. B. Uber das Internet oder ahnliche offene Netzwerke mog- 
lich, ohne daB ein Tbchniker vor Ort ist Dies ist vor allem in hochgradig verteillen Systemen ein enoimex \brteil. 
EHese Vorteile modemer Echtzeit-BetriebssystemE und Computer-Netze sand bislang fiir sicberheitskiitische Anwen- 

10 dungen an der Eisenbahn-Signaltechnik nicht nutzbai; da nicht garantiert werden kann, daB die eingebrachte Produkt- 
Softwarc authentisch ist, d. h. von dem bchaupteten Absender stammt und nicht manipuliert wurde und die Produkt-S oft- 
ware nach den geltenden Vorschriften gepruft ist. 

Unter dem Oberbegriff Produktsoftware wild hier sowohl Systetnsoftware als auch Anwendeisoftwana oder Anlagen- 
Projektieningsdateo verstanden. 

15 Bckannt ist, die Produkl-Softwarc nach Vorliegen (raanuell unterschriebener) Prufberichtc iiber vorab in der Fertigung 
programmierte Speicherbaugruppcn von Hand in das sichcrheitskritische System einzubringen. Dicser I*rozeB soil mit- 
tels der beschriebenen Erfindung digitalisiert werden, d. h. die Produkt-Software wird von den Priifem digital signiert 
und uber ein offbnes Netz in das sicherfaeitskritische System etngebracbt. I^r Zielrechner priift die Signaturen automa- 
tisch auf Echtbeit und Zulassigkeit. 

20 Weitertiin sind aus der EF 0 816 970 A2 ein Verfahren und cine Vorricbtung bekannt, mit welcbcn die Authentizitat 
von Fuuiware gepriift werden kann. Es wird gepriift, ob spezifische Signaturen zu Mikrokodierungen passen. Nachteilig 
bei dieser Losung ist, daB der offentliche Schliissel in der Anlage fest installierl ist und keine Obeipriifung der Priifbe- 
rechtigungen erfolgt. 

Um die Authentizitat bei Ubertragiing von Daten uber oftcnc Netze zu gewahrleisten, ist seit langcrem die Verwen- 
25 dung von kryptographischen Methoden bekannt Hiexbei ist sowohl eine symmetrische als auch eine asymmetriscbe \fer- 
schliisselung moglich. 

Bei der asymmetrischcn Vcrschlusselung existiert im Gcgensatz zur syramctrischen Verschliisselung nicht nur ein ein- 
zebaerScMussel, der alien Partnem bckannt ist, sondem ein Schlusselpaar. Dieses Schlusselpaar bestebt aus cinem soge- 
nannten Gffentlichen und einem privaten Schliissel, wobei der offentliche Schliissel fiir jedermann zuganglich sein mu6. 

30 Der Erfindung liegt die Aufgabe zugrunde, ein \ferfaliren zum Online^Update sicherheitskriUscher Software in der Ei- 
senbahn-Signaltechnik zu schaffen, welches mil cinfachcn Milleln ein effektives Zusammenwirken mehrcrer Teilnehmer 
bei der Erarbcitung und PrQfung von P*roduktsoftware sowie ein sicheres Einbringen dieser Produktsoftware in die Ziel- 
rechnCT auch iiber ungesicherte Kommunikationskanale erm5glicht 

Diese Aufgabe wird erfindungsgemaB gelost durch die Merkmale im kennzeichnenden Tfeil des Anspruches 1 im Zu- 

35 sanmaenwiAen mil den Merkmalen im OberbegrifF. ZweckmaBige Ausgcstaltungen dcr Erfindung sind in den Unteran- 
spriicbcn enthalten. 

En besonderer Vorteil der Erfindung bestebt darin, dal3 eine sichere Erarbeitung, tJbertragung und Einspeisung der 
Produktsoftware in einen Zielrechner unter Mitwirkung mehrerra- Tfeilnehmer ermoglicht wird, indem jeder Tfeilnehmer 
einen ofFentlichcn und cinen gehcimcn Schliissel erhalt, von den Teilnehmcm eine Zertifizicrungsinstanz zur Beglaubi- 

40 gung der Zugehorigkeit der Schliissel zu den Teilnehmcm mit cinem Zertifikat beslimmt wird, jeder Teilnehmer sein ei- 
genes Schliisselzertifikat und das Zertifikat der Zertifizierungsinstanz erhalt, jeder an der Erstellung und Priifung der Pro- 
duktsoftware beteiligte Tbilnehmer die Produktsoftware und die bisher geleisteten Unterschriften mit seinem geheimem 
Schliissel unterschrcibt und gemeinsam mit seinem cigenen Schliisselzertifikat wciterleitct, die Zertifizierungsinstanz fiir 
jeden Anwendungsfall eine Pruferliste erzeugt und signiert und die Produktsoftware zusammen mit einer verfcetteten Un- 

45 terschriftenliste und der Liste der Schliisselzertifikate der Ifeilnehmer sowie der Priiferliste in den Zielrechner einge- 
bracht und endgepriift wird, 

Ein weiterer Vorteil der Erfindung bestebt darin, dafi die Produktsoftware aucb iiber ungesicherte Kommunikationska- 
nale iibcrtragen werden kann. 

GemaS dsr vorliegenden Erfindung werden asymmetriscbe Vferschlusselungsverfabren verwendet. Jeder Ibilndmier x 
50 verfugt iiber zwei Schliissel, namlich einen offentlicben Schliissel Px und einen geheimen Schliissel Sx- Der geheime 
Schliissel ist duich geeignete organisatorische MaBnahmen (zum Bcispiel Passwort, Speicberung auf Chipkarte etc.) vor 
MiBbrauch gesichcrt. 

Offentliche Schliissel sind in der Regel jedem Tbilnehmer zuganglich, auf einen geheimen Schliissel darf nur ein Tfeil- 
nehmer Zugriff haben. Mit seinem gdaeimen Schliissel kann der Tbilnehmer Datensatze digital unterschreiben (Opera- 
55 tion Sigx) Oder mit seinem offenilichen Schliissel vcrschlusselte Datensatze entscbliisseln (Operation Decx). Jeder Teil- 
nehmer, der im Besitz des zugehorigen offentlicben SchlDssels ist, kann von x signierte, fur ihn bestimmtc Datensatze ve- 
rifizieren (Operation Verjc) oder x verschliisselte Nachrichten senden (Operation Encx). Das genaue asymmetriscbe Vfer- 
fahren ist dabei egal, im Prinzip kann jedes aus dem Stand der Tfechnik bekannte Vearfahren verwendet werden, 

E^e Erfindung soil nachstehend anhand von zumindest teilweise in den Hgiuen dargestellten Ausfiihrungsbeispielen 
60 naher crlSutert werdcn. 
Es zeigen: 

Big. 1 eine schematischeDarstellung des Zusammenwirkens von Tbilnehmem mit einer Zulassungsbeborde; 
Fig. 2 einen Programmablaufttlan fur die Priifung der Produktsoftware 

We in Fig. 1 dargestellt, wird unter den Teilnehmcm cin besonders vertrauenswiiidiger Teilnehmer Z, die sogenannte 
65 2^rtifizierungsinstanz, bestimmL Als Zertifizicrungsinstanz wird im vorliegenden Ausflihrungsbeispiel eine Zulassungs- 
b^orde eingesetzt, in Deutschland fiir die Eisenbahn-Signaltechnik z. B. das Eisenbahnbundesamt, oder eine andere 
vertrauenswiirdige Instanz. Dieser Tbilnehmer zertifiziert, d. h. beglaubigt, dafi die Schliissel der einzelnen Tbilnehmer 
wirklich zu den b^aupteten Teilnehmcm gehoren. Dazu unterschrcibt Z digital fur jeden Teilnehmer x dessen offentli- 
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chen SchlusselPx sowie dn Tbxtfeld Tx, das Angaben zurldentitat des Tfeilnehmers, zur Giiltigkeitsdauerdes Zealifikats 
etc. enthalt- Das Zertifikal besleht also fiir jeden Teilnehmer aus Px, Tx sowie Sigz (Px, Tx)- Die Zertifizierungsinstanz 
ubcrgibt zusatzlicb jedem Teilnehmer ihr eigenes Zertifikat, das aus Pz, Tz sowie Sigz CPz» Tz) besteht. 

Im weiteren wird nun ein konkreter Anwendungsfall betrachlet. Die Zulassungsbehorde Z erzeugt fur jeden Anwen- 
dungsfall eine Priiferliste L, in der verraeikt ist, welche Priiffer welcbe Produktsoftware und in welcher Pnifbr-Zusam- 5 
menseizung priifen diirfen. Diese Liste wird eben falls von der Zulassungsbehorde sigmert und zusammen mit dem Zer- 
tifikat Sigz(L) auf gcsichertcm Weg in den Zielrechner der Anlage dngebracht, also cntweder zusammen mil der Pro- 
duktsoftware Oder als PrqjektieruDgsdatum, Zusatzlicb sollLe die Priiferliste auch an die beteiligten Priifer verteUt wer- 
den. Allemativ kann sie auch zusammen mit der Produkt-Software ubertragen werden. 

Jeder an der Erstellung und Prufung der Produktsoftware beteiligte Teilnehmer unterschreibt die Produktsoftware S lo 
und die bisher geleisteten Unterschriflen seiner Vorganger in der Prufhierarchie» d. h. der Ersteller E unterschreibt die 
Produktsoftwarc S mit SigE{S), und sendet sie mit der Unterschrift und seinera Schliisselzerdfikat Pb^, Tb sowie SigzCPe, 
Tg) an den Priifer P, der die Echtheit der Unterschiift priifl und nach positivem Priifergebnis die Produktsoftware S und 
die letzte Unterschrift SigE(S) mit Sigp (S, SigE{S)) unterschreibt und mit seinem Schlusselzertifikat Pj^ Tp sowie Sigz 
(Pev Tp) sowie dem Schlusselzertifikat von E weiterleitet. Die Echtheit der Unterschriften wird dtuch jeden Priifer nach 15 
dem in Fig. 2 angegebeocn Schema gepriift. 

IMeses Prinzip kann sich noch einige Male wiederholen wie in Fig^ 2 daigestellt, je nachdem wieviele Tfeilnehmer, 
d. h, Gutachter, Tester etc. beteiligt sind. Am Ende liegt die Produktsoftware S zusammen mit einer veiketteten Unter- 
schriftenlisle und der Liste der Schlussclzertifikate der Teilnehmer vor. Dies wird zusammen mit der Priiferliste in den 
Zielrechner ubertragen. 20 

Beispiel 

PrUfplan L = (A, B, C, D, ... K) 



Produkt-SW S 



SigA(S) 



SigB(S. SigA(S)) ... SigK(S. Sigj(S, Sig,(S,...))) 



In jedem sicheren Rechner der Anlage (Zielrechnex) muB neben einer Implementation der kryptographischen Funktio- 
nen der ofientliche Schliissel der Zulassungsbehorde verfiigbax sein. Bei Erapfang eines neueo Soft-warestandes priift der 30 
sichere Rechner die digitalcn Unterschriflen der Priifer, die zu diesem Softwarestand gehorcn, sowie bei erfolgrdcher 
Priifiing die Berechtigung der Priifer anhand der Prxiferiiste. 

Falls die Produktsoftware iiber ungesicherte Kommunikationskanale iibertiagen werden soli oder verhindeat werden 
soil, dafi unbefiigte Diitte Kenntnis der Produktsoftware erlangen, so muB die P*roduktsoftware zusatzlicb verschlusselt 
werden, und zwar jeweils mit dem offentlichen Schliissel des Koimnunikationspartncrs. 35 

Beispiel 

Sendet E an P, so vnrd statt der Produktsoftware S die vcrschlusselte Fassung Enc^(S) gcsendeL P entschlusselt diesc 
mit seinem privaten Schlussel und verschlusselt sie mit dem offentlichen Schliissel des nachsten Kommurdkationspart- 40 
ners. In diesem Fall ist es auch notwendig, jedem Selrechner ein Schlusselpaar zuzuweisen, da im letzten Schritt mit 
dem 6ffentlich&n Schliissel des Zielrechners zu verscbliisseln ist. 

Weiterhin sind organisatorische MaBnahmcn notwendig, um sicherzustelien, daB die geheimen Schlussel der Priifer 
bzw. Zertifizierungsinstanz nicht unberechligt eingcsetzt werden konnen (enlweder mit PaBwort verschlusscltc Speiche- 
rung auf PC oder Chipkarte) und daB Software nicht auf anderem Wege, d. h. unter Umgehung der skizzierten Sicher- 45 
heitsmafinahmen auf den Selrechner gebracht werden kann (FirewaU-Funktionalitat). 

Patentanspriiche 

1 . Verfahren zum Online-Update sicherheitskritischer Software in der Eisenbahn-Signaltechnik unter Mitwirkung 50 
mehrerer Tetlnehma: und unter Nutzung kryptographischer Metboden und in digitalisierter Form vorliegender ver- 
schliisselter Datensatze, wobei 

- jeder Tfeilnehmer einen offentlichen und einen geheimen Schliissel erhalt, 

- von den Tfeilnehmem eine Zertifimerungsinstanz zur Beglaubigung der Zugeborigkeit der Schliissel zu den 
Teilnehmem mit einem Zertifikat bestimmt wird, 55 

- jedo: Teilnehmer sein eigenes Schlusselzertifikat und das Zertifikat der Zertifizierungsinstanz crhalt, 

- jeder an der Erstellung und Priifung der Produktsoftware beteiligte Tbilnehmer die Produktsoftware und die 
bisherigen Unterschriflen mit seinem geheimen Schlussel unterschreibt und gemeinsam mit seinem eigenen 
Schliisselzenifikat weiterleitet, 

- die Zertifizierungsinstanz fUr jeden Anwendungsfall eine Priiferliste erzeugt und signiert und 60 

- die Produktsoftware zusammai mit einer veiketteten Unterschriftenliste und der Liste der Schliisselzertifi- 
kale der Tfeilnehmer sowie der Priiferliste in den Zielrechner eingebracht und endgepriift wird. 

2. Verfahren nach Anspruch 1, dadurch gekeimzeichnet, daB die geheimen Schliissel der Ifeiinehmer zum digitalen 
Untcrschreiben von Datensatzen und bei Ubertragung der Produktsoftware uber ungesicherte Kommunikationska- 
nale zum Entschliisseln vcrwcndet werden. 65 

3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daB die offentlichen Schlussel der Tfeilnehmer zum Ent- 
schliisseln verschliisselter Datensatze oder zum \ferifizieren signierter Datensatze und bei Obertragung der Produkt- 
software Uber ungesicherte Kommunikationskangle zum Verschlii^eln mit dem offentlichen Schliissel des n^hsten 
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Kommunikationspartners verwendet werden. 

4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daB die Zertifixieningsinstanz zur ErsteUung der Zertifi- 
kate fur jedcn Teilnehmer dessen offcnllichen SchlUsscl sowie ein Textfeld mit Angabeo zur Identitai und Gultig- 
keilsdauer des Zertifikates unterschreibt. 
5 5. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daB in der Priiferliste vermerfct isl, wekrher Tbilnehmer 

welche Produklsoftware und in welcher Zusammensetzung mit anderen Teikiehmem priifen darf. 

6. Verfahren nach Anspruch 1, dadurch gekennzcichnet, daB im Zielrechner neben einer Impleraentaiion der kryp- 
tographischen Funktionen der dffentliche Schliissel der Zertifizienangsinstanz verfiigbar ist. 

7. Verfahren nach Anspruch 1 , dadurch gekennzcichnet, daB der Zielrechner b^ der Endpriifung die digitalen Un- 
10 terschriften der Teilnehmer sowie die Berechtigung der Teihiehmer anhand der Pruferliste fMlift. 

8. Verfahren nach einem der Anspriiche 1 bis 3, dadurch gekennzcichnet^ daB bei Ubertragung der Produklsoftware 
uber ungesichertB Koramunikationswege jedem Sehechnerein Schlusselpaar zugewiesen wird. 
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Schritt 0: Z autor^iert die 
Teiloehmer 



3) Zulassungsbeh6rde Z 
autorisiert SchlQsset und 
Zertifikat durch 
Unterschrift 



-2) sondat an 2- 



-4) sentSdl Stg^iP,. T,) an x- 



1) Jeder Teitnehmer x 
erzeugt Schlussel: P^.S, 



Schritt 1:2verteilt(fie 
authorisierte Pruferiiste 



Zulassungsbehdrde 
Schlussel: P^.S^ 



USlgZ(L) 



ErsTellerE 
SchKjssel: Pg-SePj 




Prufer P 
Schlussel: Pp.S,„P2 



Schritt 2: Jeder PrOfer 
fuhrt folgende Schritte aus 



Prufer n 



1} Ertt&lt SW. Umorschnl^ und 



sws 

Sig,{S) ...Si9n(S...) 
Pi.T,.Sig2(P,.T,) 



2) Pruft Unterschriften 
(und ggf, Zulassung der 
PrDfer) 

3) Pru» SW 

4) Unterschreibt nach 
erfolgreicher Prufung 
und fugt Unterschrift und 
Zertifikat an 



_5> Sendet SW, Untecschriftsn und 
Zertittkat9 an Nschlolger ~* 



SWS 
Sig,{S) ..vS1g„{S....)p 
Slg^,(S-g„(S.,.)) 
PvT,,Sig2(P,,T,) 



Schritt 3: Prufung im 
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_1} Erttftfi SW. Untarschrifton und 
ZertHtkate afldr Pruler ^ 



Zielrechner 

2) Prutt Unterschrmen 
und Zulassung der 
Prufer 
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